Volevo realizzare una tecnica di login sicura. L'idea era scambiare con un canale sicuro una password tra server e client. Dopodiché questa non viene mai più comunicata, ma usata per criptare e decriptare i messaggi che server e client si scambiano. Così, se qualcuno intercetta qualcosa, non ha la chiave per capire nulla.
Questo, tra le tante sistemazioni, richiede che Javascript salvi delle informazioni sul browser e non le invii mai. L'ideale sarebbe un cookie che non viene mai inviato. Del resto i cookie si possono leggere solo dal dominio impostato e solo dal percorso impostato. Un altro sito non può leggere i cookie di altri siti, a meno che questi non vengono creati per quel dominio. Quindi mi sembrano sicuri (trattando gli input che giungono dal browser tramite POST GET e COOKIE in modo da renderli innocui per MySQL PHP e anche HTML) e comunque salverei dati che cambiano ad ogni sessione, quindi mai del tutto compromettenti.
Avevo creato un cookie con JS per il percorso /g8hd32jn (sequenza alfanumerica casuale) che non viene mai usato e quindi mai inviato. Se proprio viene visitato, allora viene chiusa subito la sessione ed eventuali dati inviati al server (ed eventualmente intercettati) sarannno definitivamente cambiati e quindi resi inutili. Però, nel momento in cui volevo recuperare con JS le informazioni salvate in quel cookie, il cookie risultava inesistente, non accessibile. Questo perché è disponibile solo se sono nella pagina /g8hd32jn, ma io lo voglio disponibile in tutte le pagine /, solo che così il browser lo invia sempre al server, e non voglio.
Ho provato dunque ad usare il parametro 'secure' che invia il cookie al server solo con connessione HTTPS, che io non uso e quindi non dovrebbe mai essere inviato. Così è, però nemmeno Javascript può più avere accesso ai cookie così creati: sconforto.
Ho pensato infine che, se non esiste la possibilità di avere cookie accessibili solo a Javascript, potevo salvare un piccolo file temporaneo. Però questa operazione è problematica perché Explorer ha un ActiveX per farlo facilmente ma il sistema cambia da browser a browser e ancora più problematico è in Linux e Mac. Ho trovato FireBreath che tra le varie cose concede di salvare file in tutti i browser e s.o. però, far scaricare oltre 1 MB di roba (compressa quindi sicuramente abbastanza di più) all'utente che visita il sito, solo per salvare una piccola informazione che deve stare solo sul client e mai essere inviata, non ha senso...
Non è proprio possibile avere cookie accessibili solo a Javascript? non si è mai avvertita questa esigenza? Spero di trovare una soluzione. Vi ringrazio per ogni consiglio!
Questo, tra le tante sistemazioni, richiede che Javascript salvi delle informazioni sul browser e non le invii mai. L'ideale sarebbe un cookie che non viene mai inviato. Del resto i cookie si possono leggere solo dal dominio impostato e solo dal percorso impostato. Un altro sito non può leggere i cookie di altri siti, a meno che questi non vengono creati per quel dominio. Quindi mi sembrano sicuri (trattando gli input che giungono dal browser tramite POST GET e COOKIE in modo da renderli innocui per MySQL PHP e anche HTML) e comunque salverei dati che cambiano ad ogni sessione, quindi mai del tutto compromettenti.
Avevo creato un cookie con JS per il percorso /g8hd32jn (sequenza alfanumerica casuale) che non viene mai usato e quindi mai inviato. Se proprio viene visitato, allora viene chiusa subito la sessione ed eventuali dati inviati al server (ed eventualmente intercettati) sarannno definitivamente cambiati e quindi resi inutili. Però, nel momento in cui volevo recuperare con JS le informazioni salvate in quel cookie, il cookie risultava inesistente, non accessibile. Questo perché è disponibile solo se sono nella pagina /g8hd32jn, ma io lo voglio disponibile in tutte le pagine /, solo che così il browser lo invia sempre al server, e non voglio.
Ho provato dunque ad usare il parametro 'secure' che invia il cookie al server solo con connessione HTTPS, che io non uso e quindi non dovrebbe mai essere inviato. Così è, però nemmeno Javascript può più avere accesso ai cookie così creati: sconforto.
Ho pensato infine che, se non esiste la possibilità di avere cookie accessibili solo a Javascript, potevo salvare un piccolo file temporaneo. Però questa operazione è problematica perché Explorer ha un ActiveX per farlo facilmente ma il sistema cambia da browser a browser e ancora più problematico è in Linux e Mac. Ho trovato FireBreath che tra le varie cose concede di salvare file in tutti i browser e s.o. però, far scaricare oltre 1 MB di roba (compressa quindi sicuramente abbastanza di più) all'utente che visita il sito, solo per salvare una piccola informazione che deve stare solo sul client e mai essere inviata, non ha senso...
Non è proprio possibile avere cookie accessibili solo a Javascript? non si è mai avvertita questa esigenza? Spero di trovare una soluzione. Vi ringrazio per ogni consiglio!
Ultima modifica: